Журнал "Information Security/ Информационная безопасность" #6, 2025

В этом году мы столкнулись не только с большими утечками персональных данных, но и с инцидентами информа- ционной безопасности микромасштаба. Наблюдали введение оборотных штра- фов, массовые регистрации новых опе- раторов в реестре персональных данных, огромное количество жалоб субъектов, снижение числа утечек, многочисленные кибератаки и появление в связи с этими обстоятельствами разнообразных зако- нопроектов и общественных инициатив. Фокус внимания как операторов, так и субъектов, был прикован к персональ- ным данным. Что же готовит нам новый год? Утечки или кибератаки В 2025 г. появился оптимистичный тренд на стабильное уменьшение коли- чества утечек персональных данных. Хотя их общее число остается высоким (к началу ноября было зафиксировано 103 случая), масштаб утечек кратно уменьшился с 710 млн записей в про- шлом году до 50 млн записей в этом 1 . Причины могут быть самые разные. Во- первых, важную роль сыграло появление специализированной статьи в Уголовном кодексе РФ 2 и ужесточение администра- тивной ответственности, в том числе появление оборотных штрафов 3 . Во-вто- рых, среди специалистов бытует мнение, что все уже слито. В-третьих, и это самое печальное, укрепляется тревожная тенденция – увеличение числа кибератак, не приводящих к утечкам, но ведущих к невозможности осуществления основной деятельности организации. Под удар уже попадали медицинские организации, авиакомпании, провайдеры, образова- тельные учреждения, промышленные предприятия, мелкий бизнес и физиче- ские лица не только в России, но и по всему миру. Атаки стали адресными, продуманными и точными. Злоумыш- ленники не жалеют времени на предва- рительный этап, тщательно собирая информацию о жертве. Они могут довольно долго находиться в корпора- тивной сети, не причиняя ей ущерб, чтобы потом в одночасье парализовать работу компании. Прогноз: многочисленные атаки про- должатся. Многие из них не будут при- водить к сливам данных, но могут повлечь за собой крах отдельно взятого бизнеса или существенный ущерб ему, как финансовый, так и репутационный. Оборотные штрафы В первой половине этого года мы наблюдали масштабную истерию: успеть всё доделать и подать уведомление до 30 мая. Количество запросов в поиско- виках на тему защиты персональных данных превышало все допустимые значения, а новые специалисты по защи- те личной информации появлялись с быстротой грибов после дождя. У всех на устах было словосочетание "оборот- ные штрафы". Кто же будет первым? Вопрос остается открытым – пока штра- фы ни к кому не применялись. Но, скорее всего, мы можем узнать о первом оборотном штрафе уже в 2026 г. В СМИ говорится о подготовке Минцифры совместно со ФСТЭК России, ФСБ Рос- сии и Ассоциацией больших данных (АБД) списка смягчающих обстоя- тельств 4 . Прогноз: операторы получат подроб- ный список требований, при выполнении которых наказание в случае утечки будет смягчено. Сейчас же довольствуемся формулировкой смягчающих обстоя- тельств из ч. 3.4-2 ст. 4.1. КоАП РФ. Уголовная ответственность Воровство и продажа чужих персо- нальных данных существовали и рань- ше: чего стоят только диски с базами, которые активно реализовывались лет пятнадцать-двадцать назад, но спе- циализированная статья появилась только в конце 2024 г. Будем наблю- дать за формированием судебной практики. Если оборотные штрафы еще не при- менялись, то первые дела по ст. 272.1 УК РФ "Незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержа- щей персональные данные, а равно соз- дание и (или) обеспечение функциони- рования информационных ресурсов, предназначенных для ее незаконных хранения и (или) распространения" уже появляются в разных регионах 5 . Прогноз: ужесточение ответственно- сти заставит многих потенциальных тор- говцев персональными данными оста- новиться и придумать себе более без- опасные бизнес-идеи. Самых упорных будут наказывать. 60 • УПРАВЛЕНИЕ Персональные данные: прогноз на 2026 год сли десять лет назад хакеров интересовали только компании- гиганты, в основном в столице и нескольких городах-мил- лионниках, а пять лет назад – крупный и средний бизнес, в том числе в регионах, то сейчас с инцидентами сталкивают- ся даже индивидуальные предприниматели, самозанятые и просто физические лица. Е Ксения Шудрова, эксперт по информационной безопасности Фото: Артем Борисенко 1 https://tass.ru/obschestvo/25505375 2 УК РФ ст. 272.1. Незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконных хранения и (или) распространения. 3 КоАП РФ ст. 13.11. Нарушение законодательства Российской Федерации в области персональных данных. 4 https://rubda.ru/media_assocation/minczifry-i-biznes-obsuzhdayut-smyagchayushhie-obstoyatelstva-pri-utechke-dannyh/ 5 https://kirovsky –lo.sudrf.ru/modules.php?name=sud_delo&srv_num=1&name_op=case&case_id=306153956&case_uid=0790c9ad- e17b-4314-80f4-77e8d06eca22&delo_id=1540006&new=